Scenario

Proofpoint: il 90% dei principali e-commerce italiani non protegge i clienti dal rischio frodi

Lockdown prima e distanziamento sociale poi: l’emergenza covid ha rivoluzionato di fatto i comportamenti degli italiani anche per quanto riguarda gli acquisti. Nel giro di poche settimane, l’e-commerce è diventato quasi l’unico canale di contatto, sia per l’acquisto che per la vendita.

In Italia, da inizio anno a oggi sono due milioni i nuovi consumatori online, di cui 1,3 milioni sono arrivati alle piattaforme di acquisto digitale proprio durante la crisi sanitaria. Secondo i dati dall’Osservatorio eCommerce B2C promosso dalla School of Management del Politecnico di Milano e da Netcomm, il Consorzio del Commercio Elettronico Italiano, gli acquisti dei consumatori nel comparto Food&Grocery varranno 2,5 miliardi di euro, con una crescita del +55%, quasi un miliardo in valore assoluto in più rispetto al 2019.

Se la pandemia ha portato nel giro di pochi mesi a un importante salto in avanti nella digitalizzazione di utenti e imprese, con i dati Istat che confermano come ad aprile 2020 il commercio tradizionale abbia registrato un vero e proprio crollo rispetto all’anno precedente con un calo del 16,4% per la grande distribuzione e del 37,1% per le imprese operanti su piccole aree, non è tutto rosa e fiori.

Proofpoint

Per Proofpoint, la digitalizzazione porta con sé una serie di rischi legati alla sicurezza, che potrebbero compromettere lo shopping degli utenti e non solo. Non sempre i clienti vanno direttamente sul sito di un determinato retailer. Magari decidono di visitarlo dopo aver ricevuto un messaggio relativo a una promozione o un’offerta speciale. Ma quante sono le email che ogni giorno promettono sconti, a cui accedere tramite un link incluso nel testo? Sono tutte legittime e sicure? Forse è opportuno non fidarsi sempre ciecamente.

A questo proposito, la compagnia ha condotto un’analisi approfondita sulle misure di protezione messe in campo dai principali siti italiani di e-commerce, verificando la presenza e la completa implementazione del protocollo DMARC (Domain-based Message Authentication Reporting and Conformance). Questo protocollo impedisce ai cybercriminali di impossessarsi dell’identità di un’organizzazione e riduce il rischio di frodi via e-mail per i clienti.

I criminali utilizzano regolarmente il metodo dell’impersonificazione (spoofing) dei domini per spacciarsi per organizzazioni come i siti di e-commerce, inviando un’email da un indirizzo che appare lo stesso del mittente legittimo. Ciò rende quasi impossibile per un normale utente di Internet identificare un mittente falso da uno reale.

«I brand più noti portano con sé un atteggiamento generalmente positivo da parte del consumatore, che tende ad accettare con fiducia comunicazioni in arrivo da un marchio che conosce» spiega Luca Maiocchi, country manager di Proofpoint in Italia.

«Gli hacker lo sanno e cercano di sfruttare questa predisposizione, impersonificando i brand più noti e familiari per ognuno di noi. Esistono misure per difendersi e difendere i consumatori, è decisamente preoccupante però che non siano adottate in modo più esteso».

L’analisi ha preso in considerazione i dieci principali siti di e-commerce divisi per categorie merceologiche, in base alla classifica di Semrush, e di beni alimentari (fonte Altroconsumo), per un totale di 79 siti web. Il risultato non è confortante: quasi il 90% non protegge adeguatamente il cliente dai rischi di frode online via posta elettronica.

Nonostante quasi la metà dei rivenditori analizzati (39 su 79, 49%) disponga del protocollo DMARC, solo l’11% (9 su 79) ha impostato la modalità “reject” (rifiuto), che fornisce il livello di protezione più rigoroso e raccomandato, che comporta una protezione attiva dei loro clienti dalle frodi via email. Nella sostanza, la modalità reject impedisce che un messaggio email utilizzante un determinato dominio raggiunga il destinatario, se non è stato fisicamente inviato dal mittente legittimo.

La percentuale più alta di adozione (80%) del protocollo DMARC si verifica nel settore della moda (siti monomarca) e dei complementi dì arredo, la più bassa (20%) tra gli shop di cosmetici. È decisamente preoccupante però che in più di un settore – cosmetici, alimentari, libri, elettronica di consumo – nessuno dei siti analizzati abbia scelto la modalità “reject”. I clienti di questi siti possono ricevere email pericolose e di phishing senza nessun controllo sui domini che appaiono al destinatario.

Per molte organizzazioni, la possibilità di ridurre il rischio di frodi via email è legata proprio all’utilizzo di DMARC (Domain-based Message Authentication, Reporting and Conformance), un protocollo email adottato a livello globale come un vero e proprio “controllo passaporti” del mondo della sicurezza della posta elettronica.

Questo verifica che il dominio del mittente non venga utilizzato in modo illegittimo: DMARC effettua una verifica basandosi sugli standard DKIM (DomainKeys Identified Mail) e SPF (Sender Policy Framework) per garantire che il messaggio email non mostri un dominio impersonificato in modo illegittimo. Un’autenticazione che protegge dipendenti, clienti e partner dai criminali informatici che intendono impersonificare un dominio noto e fidato.